Я начал изучать управляемые учетные записи служб в Windows. Насколько я понимаю, такие учетные записи упрощают управление паролями, а учетные записи можно ограничить для использования на определенных машинах. Затем вы можете запустить любую службу Windows, которую захотите, с этим пользователем.
Предположим следующий сценарий:
- Служба SQL Server работает с управляемой учетной записью службы
- Этот пользователь является SA на SQL Server.
- Какой-то злонамеренный пользователь создает службу на той же машине и запускает ее с той же учетной записью Managed Service. Это возможно, поскольку при настройке "logon user" службы не требуется пароль
- Теперь эта служба может подключаться к SQL Server как SA.
Без Managed Service Accounts для подключения к SQL Server вам понадобится пароль. С Managed Service Accounts запуск службы с тем же пользователем, что и у SQL Server Service, и вы сможете подключиться. Кажется, что проще неправильно использовать Managed Service Account, чем обычного пользователя AD.
Можно ли сделать так, чтобы Managed Service Account можно было использовать только с определенной услугой? Или я что-то упускаю?
решение1
Нет, учетные записи Windows не могут быть ограничены определенной службой, включая MSA.